Система обнаружения вторжений — распространенный сервис безопасности. Основным способом которого является использование сигнатур (формальных признаков вероятности сетевой атаки). Для каждого уровня они различные (в изобразительных свойствах), так как они формируют признаки и используют различные методы и термины.
Для первых четырёх уровней модели OSI формируем критерии, на основании которых принимаем решение о конкретной ситуации.
Физический уровень
Протоколы физического уровня описывают электрические, механические, функциональные и процедурные средства для активации, поддержки и деактивации физического соединения, обеспечивающего передачу бит из одного сетевого устройства в другое. Физический уровень получает пакеты данных от вышележащего канального уровня и преобразует их в оптические или электрические сигналы, соответствующие 0 и 1 бинарного потока. Эти сигналы посылаются через среду передачи на приемный узел.
Механические и электрические/оптические свойства среды передачи определяются на физическом уровне и включают в себя:
- тип кабелей и разъемов;
- разводку контактов в разъемах;
- схему кодирования сигналов для значений 0 и 1.
На этом же уровне определяются характеристики электрических сигналов, такие как:
- фронты импульсов;
- уровни напряжения или тока передаваемого сигнала;
- типы кодирования;
- скорости передачи сигналов.
Критерии:
1. Физическая работоспособность.
2. Физическая целостность (целостность системы защиты).
3. Физическая доступность.
На физическом уровне происходит резервирование — дублирование линков.
Набор показателей:
1. Напряжение.
2. Давление.
3. Скорость передачи.
Сигнатуры:
1. Давление в манометре (например, падение давления в трубе ниже определенного уровня является сигнатурой).
2. Использование каналов, не задействованных в защищаемой сети.
3. Перекрывающиеся каналы.
4. Внезапное изменение рабочего канала одним или несколькими устройствами, за которыми ведется наблюдение.
5. А вот события, фиксируемые СОВ на верхних уровнях стека протоколов, например, большое число фрагментированных пакетов или запросов TCP SYN, может указывать на сканирование портов или DoS-атаку. Но, если это просто результат плохой связи на физическом уровне, данная проблема не является сигнатурой.
Атаки:
1. Обрыв кабеля.
2. Недопустимое повышение / понижение напряжения.
3. Среда теряет функциональность (утратила физические свойства).
4. Используемые характеристики находятся в неправильном диапазоне.
5. Изменились свойства канала, то есть передача, как таковая, совершаться будет, но сам канал передачи будет ненадежный (не защищен).
Канальный уровень.
Канальный уровень подготавливает фреймы для передачи по локальной среде.
В локальных сетях канальный уровень разделяется на два подуровня.
- подуровень управления логическим каналом (LLC);
- подуровень доступа к среде (MAC).
В отличие от других протокольных блоков данных, фрейм канального уровня состоит из следующих элементов: заголовок (содержит контрольную информацию), данные (содержит заголовок IP, заголовок транспортного уровня и данные), концевик (содержит контрольную информацию для выявления ошибок).
Критерии:
1. Корректность реализации соглашений протокола.
2. Статистическая устойчивость интенсивности широковещательных фреймов.
3. Статистическая устойчивость интенсивности фреймов с чужим MAC-адресом.
MAC — адреса и идентификаторы виртуальных сегментов сети должны быть определены и перечислены.
Набор показателей:
1. Принадлежность текущего MAC-адреса или идентификатора таким спискам.
2. Частота поступлений широковещательных фреймов (например, должно быть 3 с / на определенный узел, а пришло 1000 фреймов).
3. Количество фреймов с чужим MAC-адресом.
4. Большое количество широковещательных фреймов.
Сигнатуры:
1. Несовпадение текущего MAC-адреса или идентификатора ни с одним элементом из элементов списка.
2. Превышение частоты некоторого заранее установленного порога с / на определенный узел.
3. Превышение количества пришедших на интерфейс коммутатора фреймов с чужим MAC-адресом.
4. Количество широковещательных фреймов превысило допустимые показатели.
5. Фреймы с другим VLAN ID (идентификатор VLAN, указывающий, какому VLAN'у принадлежит фрейм. Диапазон возможных значений VID от 0 до 4095).
Атаки:
1. Перехват фреймов.
2. На интерфейс коммутатора пришел фрейм с чужим MAC-адресом.
3. Компрометация на ARP (1 хост подменяется другим).
4. Broadcast storm (считается, что приемлемая доля широковещательного трафика должна составлять 10 % от трафика всей сети. Значение в 20 % и выше должно классифицироваться как атака).
5. Попытка подмена VLAN.
Сетевой уровень
Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами.
Основные задачи сетевого уровня:
- адресация пакетов;
- перевод логических имен в физические сетевые адреса (и обратно);
- выбор маршрута, по которому пакет доставляется по назначению (если в сети имеется несколько маршрутов).
Протоколы сетевого уровня модели OSI определяют адресацию и процессы, которые позволяют упаковывать и передавать данные транспортного уровня. Инкапсуляция сетевого уровня обеспечивает прохождение данных по сети к адресату (или другой сети) с минимальной нагрузкой.
Наиболее часто на сетевом уровне используются протоколы: IP, IPX, NetBEUI.
Критерии:
1. Статистическая устойчивость интенсивности пропускной способности сети.
2. Допустимость уровня фрагментации пакетов.
Набор показателей:
1. Тип и размер пакетов (хостам рекомендуется отправлять пакеты размером более чем 576 байт, только если они уверены, что принимающий хост или промежуточная сеть готовы обслуживать пакеты такого размера).
2. Результаты трассировки (мы знаем, какой маршрут должен быть обычно, выполняем Tracert (Trace route), а он другой).
3. Уровень фрагментации пакетов.
Сигнатуры:
1. Отсутствие маршрутов в сети.
2. Пропажа пакетов (ошибки маршрутизации).
3. Превышение частоты некоторого заранее установленного порога с / на определенный узел.
4. Внезапное уменьшение пропускной способности сети.
5. Повышенный уровень фрагментации пакетов.
6. Частые повторные передачи пакетов.
Атаки:
1. Подмена default gateway (шлюза по умолчанию).
2. Нарушение процесса маршрутизации.
3. DDOS-атака.
Установленные задачи порождают данные критерии, потому что, исходя из этих критериев, можно сформулировать набор показателей, сигнатур и атак, определяющих сетевой уровень.
Транспортный уровень.
Транспортный уровень определяет сервисы для сегментации, передачи и сборки данных для отдельных сообщений между оконечными устройствами, производит разбивку передаваемых данных на блоки, помещаемые в пакеты, обеспечивает доставку пакетов и восстановление принимаемых данных. Доставка сегментов возможна как с установлением соединения (виртуального канала), так и без. Транспортный уровень является пограничным и связующим между верхними тремя, сильно зависящими от приложений, и тремя нижними уровнями, сильно привязанными к конкретной сети.
Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.
Критерии:
1. Надежность соединения.
2. Способность к обнаружению и исправлению ошибок передачи.
3. Ложность порядка номеров сообщений.
Набор показателей:
1. Проходит / не проходит сегмент.
2. Совокупность количества и портов (существуют AKL блокирующие только по IP — адресам, а есть и другие, которые блокируют и по IP и по портам).
Сигнатуры:
1. Блокируются определенные службы.
2. Аномальное количество сегментов на определенный порт.
3. Аномальное количество запросов на порты.
4. Размер сегментов (размер сегмента представляет собой обычно небольшое число (от 500 байт до 5 килобайт).
5. Большая или заведомо неполная последовательность формирования сегментов.
Атаки:
1. Подмена UDP пакетов.
2. Посылка / приемка «тяжелых» сегментов.
3. Атаки LAND: № порта отправителя = № порта получателя®зацикливание.
Транспортный уровень обеспечивает приложениям или верхним уровням стека — прикладному и сеансовому — передачу данных с той степенью надежности, которая им требуется.
Литература:
1. Таненбаум Э., Уэзеролл Д. Компьютерные сети. 5-е изд. — СПб.: Питер, 2012. — 960 с.
2. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд.-СПБ.: Питер, 2010. — 944 с.: ил.
3. http://infocisco.ru/network_model_osi.html